Троянці використовують незвичайний механізм зараження
Інфікування комп'ютера жертви здійснюється за допомогою широко поширеного троянця Trojan.PWS.Panda.2395. На першому етапі зараження за допомогою підтримуваної троянцем пірінгової мережі на ПК жертви скачується виконуваний файл, в якому зашифрований шкідливий модуль. Після успішної розшифровки він запускає ще один модуль, що зчитує в пам'ять комп'ютера образ іншого шкідливого програми, детектіруемого антивірусним пз Dr.Web як один з представників сімейства Trojan.DownLoader.
Дана програма зберігається в папці облікового запису користувача у вигляді виконуваного файлу з випадковим ім'ям, після чого модифікує реєстр Windows, щоб забезпечити собі можливість автоматичного запуску одночасно із завантаженням операційної системи.
Вельми цікавий алгоритм, який використовується троянцем для завантаження на комп'ютер інфікований інших шкідливих програм. У тілі даній модифікації Trojan.DownLoader Є зашифрований список доменів, до яких завантажувач звертається із запитом за протоколом HTTPS. У відповідь троянець отримує головну веб сторінку розташованого за даною адресою сайту і розбирає її HTML-структуру в пошуках вставки тегу зображення <img src="data:image/jpeg;base64 ... >. Як аргумент цього тега такі веб сторінки містять зашифрований шкідливий файл, який витягується з html-документа, розшифровується і залежно від отриманої команди або намагається вбудуватися в попередньо запущений процес троянцем svchost.exe, або зберігається в тимчасову папку. Крім цього, безпосередньо з тіла завантажувача розшифровуються DDoS-модуль і список адрес для подальшої атаки, потім образ цієї шкідливої програми настроюється безпосередньо в його процесі.
Після успішного завантаження DDoS-модуль створює до восьми незалежних потоків, в яких починає безперервно відправляти POST-запити до серверів з що зберігається в троянце-завантаженні списку, а також намагається встановити з'єднання з рядом серверів по протоколу SMTP, після чого відсилає на них випадкові дані. Всього список містить 200 вибраних як цілі для DDoS-атак сайтів, серед яких є такі відомі ресурси, як портал love.com, що належить корпорації America On-Line, сайти декількох великих американських університетів, а також портали msn.com, netscape.com та інші.
Але цим функціонал троянця-завантажувача не обмежується. Зі списку доменів для DDoS-атак він по спеціальному алгоритму вибирає один, відправляє на нього HTTP-запит і отримує у відповідь веб сторінку. Серед вмісту цієї веб сторінки троянець також намагається відшукати тег вставки зображення <img src="data:image ...>, в якості аргументу якого записаний масив даних, зашифрованих з використанням алгоритму base-64.
Після розшифровки витягнуті з веб сторінки дані перетворюються в файл, що маскується під зображення у форматі JPEG. Цей файл також зберігає в собі контейнер, вміст якого стисло архіватором gzip. Нарешті, з архіву витягується шкідлива програма BackDoor.Bulknet.739, що представляє собою троянець-бекдор, який володіє функціоналом для масової розсилки спаму.